近期,業界在廣泛討論數據分類分級對于數據安全的重要性。一些人認為,雖然數據的分類整理對于其流通和使用具有積極作用,但對于確保數據安全的貢獻有限。他們認為這一局限性主要源于應用層面的數據管控無法與數據庫數據的分類分級結果有效整合,因此只能依賴于應用層自身的數據分類分級機制。
然而,筆者對此持有不同看法。
通過實施三層穿透技術,我們可以識別并關聯應用層數據所涉及的數據庫表和字段,進而與數據庫數據的分類分級結果相結合。這種技術的應用能夠實現對應用層面數據的精確安全管控,確保數據安全策略的一致性和有效性。這不僅提高了數據管理的效率,也加強了數據安全的整體防護。
在三層架構體系中,系統由客戶端、應用服務器和數據庫服務器三個核心層次構成。客戶端主要通過瀏覽器,利用HTTP協議與應用服務器進行通信,用戶與之交互的是網頁URL鏈接等網絡訪問手段。當應用服務器接收到來自客戶端的請求時,它會根據請求內容構造相應的SQL語句,對后端數據庫執行具體的數據操作。操作完成后,應用服務器將處理結果封裝并傳遞回客戶端,完成整個請求-響應的數據交互過程。
在傳統數據安全管理中,應用服務器層的HTTP訪問與數據庫層的SQL訪問之間存在信息孤島,導致敏感數據的識別工作往往獨立于各自的層面進行。這種分離的識別機制限制了數據安全管控的效率和效果,因為它需要在兩個層面上分別實施敏感數據的識別,然后才能對這些數據執行必要的保護措施。
為了提升數據安全管理的一致性和連續性,可采取一種綜合策略,實現應用層與數據庫層安全策略的同步,確保敏感數據在全生命周期內得到統一識別和保護,也即“三層穿透技術”。
三層穿透技術通過在應用服務器上部署輕量級的插件(Agent),實現了對客戶端通過URL訪問應用服務器的行為與應用服務器發起的數據庫SQL操作之間的智能關聯。這一技術能夠使數據庫審計、數據庫防火墻和數據動態脫敏等精確追蹤并識別涉及的用戶身份、數據庫表和字段信息,提供了必要的上下文信息。如下圖,用戶訪問應用服務器的請求與應用服務器訪問數據庫的SQL進行關聯:
結合數據庫數據分類分級的結果和用戶的權限設置,應用層數據安全控制能力就能夠實施定制化的數據安全策略。如下圖:
用戶User1被授予對“個人信息”類別數據的讀取權限,但禁止寫入操作;而用戶User2則被限制對“經營數據”類別數據的讀取和寫入權限。通過將用戶權限信息與數據分類分級結果相結合,我們可以明確:當用戶User1訪問存儲個人信息的User_info表時,可以查看訪數據的明文形式;相對地,User2在訪問存儲經營信息的Finance_info表時,必須對相關數據應用脫敏處理,以確保數據的保密性。
根據上述定義的用戶權限和數據分類分級結果,數據庫防火墻能夠實現訪問控制:對于User1用戶的合法訪問請求,數據庫防火墻將予以放行,確保其正常訪問所需數據;而對于User2用戶的訪問請求,由于其權限限制,數據庫防火墻將直接阻斷其訪問,并觸發安全告警機制,及時通知管理員存在可能的未授權訪問嘗試。
三層穿透技術通過精確關聯應用層請求與數據庫操作,為識別和追蹤用戶行為提供了有效手段。盡管如此,這項技術在實施過程中也面臨了一些挑戰:
1、架構適應性挑戰:三層穿透技術用于跨越多層系統架構,其效果可能受到應用架構復雜性的影響。例如,在四層或包含單點登錄、負載均衡的架構中,用戶信息的準確識別可能變得困難,從而影響穿透技術的效果。
2、系統兼容性問題:不同數據庫和應用系統架構可能需要特定的穿透技術,這也可能導致兼容性問題,需要對不同系統進行定制化適配,增加了技術整合的復雜度。
要解決好企業的數據安全問題,應該是一個體系化的建設過程,包括組織團隊保障、制度流程指導、防護技術支撐,以及日常持續的運營,而不應是單靠某項技術或產品就可以解決好數據安全問題。在數據安全體系建設過程中數據分類分級是基礎,是精細化安全管控策略制定的依據,形成基于身份、權限、行為的細粒度管控。
同時,數據分類分級也需要持續化運營,而不是一次完成后就一勞永逸的,需要隨著數據使用場景的變化、數據量的變化等多方面因素綜合考量數據分類分級標準的調整,持續對數據進行分類分級。后續我們將介紹“如何實現持續的對數據分類分級”。
